当前的网络攻击手段呈现出组织化、规模化、复杂化的特点，但无论是普通威胁亦或是高级持续威胁，在“载荷投递”与“命令与控制”阶段（出自cyber-kill-chain）均大概率会将攻击手段以落地文件的方式投递到目标系统当中，因此在面对网络攻击时，对攻击过程相关文件分析一般都能够发现攻击者的意图，协助防守者对症下药进行更有效的防御。

在攻防演练活动中，攻方可能会采用一些 0Day 漏洞利用的方式进行攻击，或利用投递未知载荷躲过传统恶意代码检测技术，此时能够跳过规则检测直接发现文件本身恶意行为的技术将是破局的重要手段。

目前市场上传统的文件分析方式主要有两种：杀毒软件与沙箱分析（防火墙中的防病毒模块、防病毒网关等设备一般也是将流量中还原文件进行杀毒软件扫描判断是否恶意）。杀毒软件主要依赖库文件进行扫描匹配，优势在于检测速度快、误报率低，适合文件量大，需要快速出结果的场景。沙箱分析的优势则在于不依赖于库文件，能够对文件的真实行为进行识别判定，但分析效率不高。所以，以上任一的文件分析方式，都不能全面满足在攻防演练场景中，需要快速、精准、深度的完成文件分析现实需求。

安天追影威胁分析系统（以下简称：追影）作为高级威胁发现的手段之一，融合了上述两种分析方式的特点，依托全球领先的安天下一代威胁检测引擎，核心技术自主可控，可以确保为用户提供及时的威胁分析响应速度，并降低外部技术依赖风险。

同时，追影也汲取了安天十余年积累的自动化分析经验，在内置安天下一代威胁检测引擎与动态分析引擎的基础上，还集成了十余种分析模块，包括黑白名单模块、文件来源检测模块、元数据提取模块、数字证书提取模块、webshell检测引擎模块、潜在能力分析引擎模块、情报交换引擎模块等，可有效实现对文件进行多维度分析鉴定。

对于高对抗性的恶意文件，追影动态分析环境支持Windows和Linux等主流操作系统及Office、Adobe、Firefox等常见的应用软件，全面构建符合用户实际使用场景的分析环境，即使面对定向攻击时也能识别未知文件的恶意行为。与此同时，还可进行用户操作模拟、网络模拟、移动介质高仿真模拟等，以应对样本的各种触发条件；并可有效发现与对抗反分析行为，降低分析漏报率。

此外，针对某些需要在特定的环境下才能够触发相应行为的恶意文件，追影支持人工干预动态分析过程，调整样本在虚拟机中的运行条件、运行环境，最大程度地触发样本行为；并提供样本在不同虚拟环境中的行为对比，揭示样本的环境偏好。

追影能将样本文件进行细粒度的向量拆解，并将拆解出的向量进行情报化处理，通过内置的情报交换组件进行情报生产与消费。可在演练活动中迅速将单点情报同步给整体情报网，提升整体安全防御的敏捷性，能够实现将出现过的威胁迅速同步给其他安全设备，保证整体情报的时效性与可靠性。